“零信任”是最近网络上冒出的安全术语之一,但到底是什么意思呢?为什么安全或IT审计团队应该开始关注这个术语?本文将概述零信任安全模型以及如何通过快速迭代模式在企业中有效构建零信任架构。本文还将列出审计部门可以采用的一些潜在的审计或咨询方法,以加强其在企业中作为“值得信赖的顾问”的地位。零信任并不是要完全取代当前的网络保护模型,甚至不是要改变基础设施,而是要增强它们以增强网络保护。读者可以利用这个机会来增加他们对该主题的了解,或者开始计划评估以确定您的组织是否已为这种新兴范式做好充分准备。零信任生命周期1.定义保护面传统的安全方法通常侧重于定义和保护企业网络周围的安全边界,并试图使敏感数据或易受攻击的信息系统远离该边界。远程工作人员通过使用VPN等技术将这种传统的边界扩展到用户的家庭网络,这不仅使传统的企业网络面临挑战,而且使防御资源的分配变得困难。零信任与此模型不同,它使用关键数据、应用程序、资产和服务(DAAS)分组专门定义和开发“保护面”:应使用数据分类策略或标准,根据这些策略或标准,数据对企业、客户至关重要和业务合作。合作伙伴的相对重要性、详尽的数据识别和分类应评估应用程序以确定它们存储、传输或处理敏感数据的级别,以及应用程序不可用或被恶意行为者勒索时对业务的影响。资产(笔记本电脑、平板电脑、服务器、路由器等)的价值应详尽清点并进一步评估以包含在各个保护表面中。应识别和评估服务(域名系统、电子邮件、动态主机配置协议等)是否包含在受保护的表面中。此阶段的审计重点可能包括获取和检查组织的数据分类政策,并确定系统和常用数据是否根据该政策进行分类。进一步的保证活动可能包括:确定企业是否制定了零信任路线图并传达给必要的人员,路线图是否清楚地标识了企业保护面、每个保护面的DAAS、责任方,以及识别和评估的状态活动。此阶段审计的重点通常是确定是否已为每个保护面制定了保护DAAS的初始安全策略。2.映射保护平面内的事务流定义每个保护平面后,应努力确定数据、应用程序、资产和服务如何交互。这包括识别端口、协议、网络流量基线、网络上的源和目标位置。这种映射工作将使企业能够微调和实施每个保护区所需的定制保护程度,而不会影响DAAS的可用性、性能和可用性。此阶段的审计重点可能包括获取和检查与受保护表面相关的网络图文档,是否在每个图中说明了相关的DAAS,以及是否存在足够的细节来描述范围内DAA之间的交互。进一步的保证活动还可能包括评估在前面的步骤中定义的初始安全策略是否已被修改,或者在这次审查之后是否需要额外的控制,以及是否正式安排了对DAAS相互依赖性的例行审查以识别变化并调整您的相应的安全策略。3.开发零信任架构零信任不仅仅是访问控制,还包括有效使用多种技术,如深度包检测、端点保护、数据丢失防护、网络过滤等,只允许可信交易存在于网络上。在确定了企业保护面及其各自的DAAS相互依赖性之后,可以根据企业独特的保护需求形成实际的零信任架构。组织通常寻求使用防火墙或其他网络隔离机制来将保护表面彼此隔离,从而创建“微分段”。下一代防火墙是现阶段的骨干,因为它具有在OSI模型的所有七层上提供网络过滤的固有能力。此阶段的审核重点可能会利用上一步来确定上面列出的特定安全设备或服务是否适合关联保护表面并在网络上正确定位。审计重点还可能包括确定是否进行了良好的架构审查,并通过适当的技术和业务主管签字确认架构满足业务要求(译者注)”,以确保授予主体(例如用户或这包括详尽地确定:谁应该被允许访问企业DAAS?哪些应用程序将被允许访问企业DAAS?企业DAAS应该何时被访问?企业DAAS位于何处(物理或逻辑)?企业DAAS的访问权限如何授予?这个阶段的审计活动可能包括评估是否为每个保护面定义了最终的安全策略和要求。零信任迭代很快,但零信任不是最终目标,所以安全策略和DAAS保护要求应随着过程的展开而演变。审计活动的结果可以确定e是否进行了架构后审查以确定“未知流量”是否正在穿越网络。“未知流量”是煤矿中的金丝雀,是风险的预兆,因为企业无法确定其来源、目的地、目的或有效性。零信任的要求是:没有流量是未知的。5.监控和维护零信任架构和策略监控零信任需要经常查看日志并检查安全设备和端点保护解决方案生产的产品。随着时间的推移,企业应该设法建立一个基线,并确定在资产通信、数据交易量和用户活动方面什么构成了网络上的正常行为。传递到模型中用于评估和调整的数据越多越好,因为应用于各个保护表面的监控活动和微隔离保护变得越来越有弹性。此阶段的审计重点应包括确定管理层是否正在执行正式的基线、日志审查和表面细化活动。审计重点还可能包括计划中的安全策略更改是否源于这些审查和改进,然后是否按指示实施。零信任并非旨在取代现有基础设施,也不会给企业带来显着的成本负担以实现其收益。零信任的迭代性质还允许组织通过开发单一保护表面来慢慢采用该模型,同时该模型的效率和优势出现。内部审计师可以通过了解零信任架构的好处并确定他们可以在多大程度上成功采用这种新兴的安全架构模型来帮助组织踏上这段旅程。
